Die Beglaubigung für einen ZfD Middle Tier-Server von einem ZfD-Verwaltungsagenten basiert auf einem Abfrage-Antwort-Mechanismus. Wenn ein ZfD Middle Tier-Server einen Agenten auffordert, die Beglaubigung auszuführen, wird ein X.509-Zertifikat gesendet. Der Agent überprüft die Integrität und Vertrauensstellung des Zertifikats. Die vertraulichen Informationen werden unter Verwendung der Verschlüsselungstechniken von öffentlichen Schlüsseln, privaten Schlüsseln und Sitzungsschlüsseln ausgetauscht.
Während der Installation wird ein NetIdentity-Zertifikat auf dem ZfD Middle Tier-Server installiert. Unter NetWare wird dieses Zertifikat von der Zertifizierungsstelle des Baums signiert, dem der Server angehört. Unter Windows 2000 ist dies ein selbstsigniertes Pseudo-Zertifikat. Diese Zertifikate werden, obwohl sie kryptografisch gültig sind, nicht von verbürgten Stamm-Zertifizierungsstellen signiert. Diesen sollte außerhalb einer kontrollierten Umgebung keine Vertrauensstellung eingeräumt werden. Standardmäßig akzeptiert die Installation des ZfD-Verwaltungsagenten selbstsignierte Zertifikate. Dieser Installationsparameter ist jedoch konfigurierbar. Wenn sich ZfD Middle Tier-Server außerhalb eines kontrollierten Netzwerks befinden, müssen diese mit einem Zertifikat konfiguriert sein, das von einer verbürgten Stamm-Zertifizierungsstelle signiert ist. Diese müssen auch so konfiguriert sein, dass eine strikte Überprüfung der Vertrauensstellung erzwungen wird.
Wenn für den Server bereits ein gültiges (und somit von einer verbürgten Stamm-Zertifizierungsstelle signiertes) SSL-Zertifikat vorhanden ist, kann der Prozess für die Beglaubigung von NetIdentity das gleiche Zertifikat verwenden.
Wenn der Server ein NetWare-Server ist, notieren Sie sich den Namen des Schlüsselpaars für das SSL-Zertifikat (das ist der in ConsoleOne angezeigte Name des Zertifikatsobjekts). Notieren Sie sich bei einem Windows 2000-Server den angezeigten Namen des Zertifikats.
Wenn Sie einen Browser verwenden, rufen Sie die NSAdmin-Seite für den ZfD Middle Tier-Server auf (http://ip-address/oneNet/nsadmin).
Legen Sie auf der Seite für die allgemeine Konfiguration den Wert für den Namen des Zertifikats auf den Namen der Schritt 1 fest.
Senden Sie die Änderung.
Starten Sie den ZfD Middle Tier-Server neu.
Wenn kein gültiges SSL-Zertifikat für den Server vorhanden ist, muss ein gültiges (und somit von einer verbürgten Stamm-Zertifizierungsstelle signiertes) X.509-Zertifikat für den Server konfiguriert werden.
Beziehen Sie ein Zertifikat, das von einer verbürgten Stamm-Zertifizierungsstelle signiert wurde. Führen Sie die Schritte aus, die in Erstellen einer Anfrage zum Signieren eines Zertifikats und Installieren der Stamm-Zertifizierungsstelle auf dem ZfD Middle Tier-Server für die jeweilige Plattform beschrieben werden.
Wenn sich der Name des Schlüsselpaars oder der angezeigte Name (abhängig von der Plattform) von "NetIdentity" unterscheidet, konfigurieren Sie den ZfD Middle Tier-Server mit dem entsprechenden Namen. Weitere Informationen hierzu finden Sie in der obigen Vorgehensweise von Schritt 1 bis Schritt 4.
Starten Sie den ZfD Middle Tier-Server neu.
HINWEIS: Wenn das Zertifikat von einer Zertifizierungsstelle signiert wurde, die sich nicht in der Liste der verbürgten Stamm-Zertifizierungsstellen befindet, muss das selbstsignierte Zertifikat der Zertifizierungsstelle in jede Arbeitsstation importiert werden. Weitere Informationen hierzu finden Sie unter Installieren eines Zertifikats auf der Windows-Arbeitsstation .
Nachdem der ZfD Middle Tier-Server mit einem Zertifikat konfiguriert wurde, das von einer verbürgten Stamm-Zertifizierungsstelle signiert wurde, können ZfD-Verwaltungsagenten konfiguriert werden, um eine strikte Überprüfung der Vertrauensstellung für NetIdentity-Zertifikate zu erzwingen. Ändern Sie folgende Registrierungsschlüssel-Einstellung:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001
Standardmäßig ist der Wert für die strikte Vertrauensstellung 0 (Null). Wenn der Wert nicht vorhanden ist oder die Einstellung 0x0 (Null) festgelegt wird, werden alle Zertifikate akzeptiert. Durch die Einstellung 0x1 werden die ZfD-Verwaltungsagenten so konfiguriert, dass sie Zertifikate ablehnen, deren Vertrauensstellung nicht vollständig überprüft werden kann.